NIER Ingegneria è diventata Società Benefit →

Architettura di Sicurezza 2oo2 nel trasporto ferroviario.

SERVIZIO MERCATO ANNO 2020-2022

Brief

Il cliente ha commissionato a NIER la progettazione di un sistema di segnalamento Ferroviario. Per questo fine è necessaria, prima di tutto, la progettazione di una architettura di sicurezza in grado di ospitare un’applicazione Vitale. Anche lo sviluppo di questa ultima è oggetto di richiesta da parte del cliente. Tempistiche estremamente ridotte e il livello qualitativo richiesto dalle normative di settore, hanno richiesto per NIER anche la messa a punto di un sistema di qualità basato su processi definiti col clienti e una gestione delle fasi di sviluppo agile oriented, per permettere la concertazione del lavoro di più team in modo armonioso ed ottimizzato.

Sfide di progetto

Un Sistema Sicuro (Safety Related) è un sistema in grado di mettere in atto contromisure sicure per mitigare gli effetti di possibili guasti che potrebbero comprometterne il corretto funzionamento con conseguenze catastrofiche. La progettazione di una piattaforma Safety Related (Sistema Operativo più Hardware) e della sua applicazione vitale (applicativo software sicuro che viene ospitato) è fortemente normata al fine di garantire alti standard di sicurezza. Le normative, nella fattispecie ferroviaria CENELEC EN50129, regolano la progettazione di tali sistemi fornendo delle linee guida di progettazione e sviluppo. Allo stesso tempo, gli applicativi software vitali devono garantire una serie di vincoli di sicurezza (normati anch’essi) per cui le scelte progettuali, Hardware, Firmware e Software, sono fondamentali.

Sistemi di questo tipo sono quindi apparati a microprocessore, progettati ad hoc, caratterizzati da un elevato grado di complessità architetturale e tecnologica in grado costantemente e continuamente (più volte al secondo) di eseguire calcoli logici sulla base delle condizioni topologiche e di servizio della tratta ferroviaria da governare, garantendo la movimentazione in sicurezza dei convogli. In sicurezza significa che il sistema deve essere progettato per essere in grado di rilevare e mitigare, con opportune contromisure, il manifestarsi di eventuali guasti.

 

 

Soluzione

La soluzione proposta da NIER è stata la progettazione di una architettura a Sicurezza Composita in ridondanza calda.

La architettura a Sicurezza Composita di NIER è caratterizzata da due canali di elaborazione che svolgono in parallelo e in maniera indipendente le stesse operazioni/calcoli (due processori). Gli output dell’elaborazione devono coincidere affinché possano essere ritenuti validi (architettura 2oo2).

 

 

Grazie a questa primo step della soluzione architetturale proposta, un guasto randomico a uno dei due canali di elaborazione che dovesse portare a risultati diversi da quelli previsti, potrà essere rilevato (il confronto tra gli output fallisce) e piloterà il sistema in uno stato “sicuro”, ovvero on vengono generati di output contrari alla sicurezza. Per intenderci, un output contrario alla sicurezza potrebbe generare un segnale di via libera (semaforo verde) quando la tratta è già occupata da un altro convoglio.

 

Il secondo step che definisce la soluzione architetturale proposta è relativo alla Ridondanza Calda, ovvero l’architettura prevede che il sistema venga replicato in due sezioni gemelle di cui una delle due è in funzione (detta sezione in servizio), mentre l’altra (detta sezione disponibile) si tiene pronta a subentrare alla sua gemella nel caso in cui in questa ultima si verificasse un guasto, al fine di garantire continuità di funzionamento in sicurezza.

 

 

Questa strategia architetturale ed implementativa permette di garantire la disponibilità, la manutenibilità e la sicurezza del sistema. Il soddisfacimento delle tre condizioni di Disponibilità, Manutenibilità e di Sistema Sicuro è ciò che ci permette di viaggiare in sicurezza, di ridurre al minimo i disagi in caso di malfunzionamenti oltre che di porre rimedio al malfunzionamento parziale di un ente senza soluzione di continuità del servizio di trasporto.

Fasi di esecuzione

FASE 1

Definizione delle specifiche di prodotto

 

FASE 2

Definizione degli algoritmi di monitoraggio delle risorse hardware

 

 

FASE 3

Definizione dei meccanismi di gestione dello stato sicuro

 

FASE 4

Definizione delle interfacce utilizzate dall’applicazione vitale ospitata dalla piattaforma

 

 

FASE 5

Definizione delle specifiche Sw e sviluppo del prodotto

 

 

FASE 6

Realizzazione di campagne di test dedicate alla validazione del Sw, all’integrazione Sw e Hw e alla validazione funzionale del prodotto

 

FASE 7
  • Cosa ha reso determinante o rilevante una specifica fase di lavoro per la riuscita/successo del case.
    Collaborazione interdisciplinare interna a NIER tra team esperti in algoritmi di sicurezza e politiche di gestione dei guasti, team esperti di sviluppo Sw sicuro e team esperti di sviluppo Sw di basso livello (sistema operativo, firmware)

Organizzazione flessibile e dinamica delle sessioni di lavoro supportata da tool di gestione agile delle attività

  • Perché e quale aspetto della soluzione finale è significativo e determinante

La piattaforma di sicurezza sviluppata da NIER ha la caratteristica di essere modulare e versatile per essere adattata a diverse tipologie di schede elettroniche e sistemi operative commerciali. L’implementazione di un’architettura composita per scopi di sicurezza e ridondata per scopi di disponibilità permette di efficientare l’applicazione vitale ospitata dalla piattaforma, portando a fattor comune le contromisure e le strategie implementative necessarie.

Risultati ottenuti

L’obiettivo di questo progetto è stato quello di creare, dalla progettazione fino all’implementazione, un’architettura a sicurezza composita 2oo2 in grado di ospitare una generica applicazione vitale ed in grado di svolgere gran parte delle funzioni vitali (implementando le relative contromisure di sicurezza associate) richieste per sistemi ferroviari SIL4, permettendo quindi di semplificare notevolmente lo sviluppo dell’applicazione vitale stessa. La garanzia della Disponibilità e manutenibilità del sistema sono garantiti dalla progettazione del meccanismo di Ridondanza calda.

Iscriviti alla Newsletter .